Parolaların kimlik avı ve kaba kuvvet saldırılarına karşı oldukça hassas olduğu bir sır değildir. Bu, kullanıcıların biyometri veya donanım anahtarıyla giriş yapmalarını sağlayan şifreli anahtar çiftlerinden yararlanan parola olmayan bir kimlik doğrulama yöntemi olan passeylerin kitlesel olarak benimsenmesine yol açtı.
Fido’ya göre, 15 milyardan fazla hesap paskay özellikli, kullanıcıların% 69’u küresel olarak en az bir hesapta paskayı etkinleştirdi. PassKey Sözü basittir – şifreleri ortadan kaldırın, güvenlik açıklarını ortadan kaldırın.
Yine de, Squarex araştırmacıları Shourya Pratap Singh, Daniel Seetoh ve Jonathan Lin, Def Con 33 ana aşamasında büyük bankacılık, alışveriş ve işletme SaaS uygulama hesaplarını riske atan büyük bir passey güvenlik açığı açıkladı.
Passeyler, şifre yerine bir çift kriptografik anahtar kullanarak çalışır. Özel anahtar, kullanıcının cihazında güvenli bir şekilde saklanırken, genel anahtar web sitesinin sunucusunda saklanır. Giriş yaparken, kullanıcı özel tuşa erişmek için biyometri, yerel donanım anahtarları veya bir pim ile yerel olarak doğrulanır.
Web sitesi daha sonra erişimi doğrulamak için bu imzayı eşleşen genel anahtarla doğrular. Bu tasarım, kimlik doğrulamasını önceden kayıtlı bir cihaza ve web sitesine bağlayarak güvenliği güçlendirerek çalınan, yeniden kullanılan veya zayıf şifrelerin risklerini ortadan kaldırır.
Kritik olarak, sunucu ve kullanıcının cihazı arasındaki tüm iletişim tarayıcıdan geçer. Başka bir deyişle, paskalar tarayıcının “dürüst” olduğu varsayımı altında çalışır.
Squarex araştırmacıları, nispeten önemsiz komut dosyaları ve kötü niyetli tarayıcı uzantıları yoluyla saldırganların, gerçek cihaz veya biyometri olmadan hesaplara erişmelerine izin vererek paskay kayıt sürecini kesebileceğini ve oluşturabileceğini gösterdi.
Kayıtlı passeylerle bile, saldırganlar passey girişinin başarısız olmasına neden olabilir ve kullanıcıları saldırgan kontrollü bir ortam altında yolcularını yeniden kaydetmeye zorlar.
“Passkeyler son derece güvenilir bir kimlik doğrulama şeklidir, bu nedenle kullanıcılar biyometrik bir bilgi istemini gördüğünde, güvenlik için bir sinyal olarak kabul ederler,” diyor Squarex araştırmacısı Shourya Pratap Singh, “Saldırganların tarayıcıdaki Passkey Work Flow’u ele geçirerek, kritik her girişim ve tüketici uygulamasını, kritik uygulamaları dahil ederek kolayca passkey kayıtlarına ve kimlik doğrulamasını kolayca taklit edebilecekleridir.”
Ne yazık ki, EDR ve SASE/SSE gibi geleneksel güvenlik araçları, PassKey istismarlarını tespit etmek için tarayıcıda gerekli görünürlükten yoksundur. Kullanıcı açısından, saldırı meşru bir passey iş akışıyla aynıdır.
Başka bir deyişle, kimlik doğrulama hizmetinin ve/veya isteğinin meşruiyetini doğrulayabilen sıfır görsel gösterge veya ağ sinyali vardır. Bu nedenle, istismarın önlenmesinin tek yolu, doğrudan tarayıcıdaki kötü amaçlı komut dosyalarını ve uzantıları izlemek ve engellemektir.
Şu anda SaaS uygulamalarında ikamet eden kurumsal verilerin% 80’inden fazlası ile, bu platformlara erişmek için baskın kimlik doğrulama yöntemi olarak paskalar ortaya çıkmaktadır.
Squarex’in araştırması, tarayıcıların Passkey güvenliğinde savunmasız noktayı temsil ettiğini ve kötü niyetli aktörlerin pasiflerden yararlanmak için kullanabileceği birden fazla saldırı vektörüne gerekçesiyle sağladığını gösterdi.
Squarex’in kurucusu Vivek Ramachandran, “Squarex, saldırganların tarayıcıdaki çalışanları kullanma yollarını aktif olarak araştırıyor.
Bir tarayıcı güvenlik katmanı olmadan, kritik verilerin depolandığı kurumsal SaaS uygulamalarına yetkisiz erişim elde etmek için saldırganlar tarafından izolasyondaki passeyler kolayca kaçırılabilir. Bu, Squarex’in öncü olduğu bir “tarayıcıda EDR” olan tarayıcı algılama ve yanıt için acil ihtiyacın altını çiziyor.
Passeyler kendilerini kimlik doğrulama altın standardı olarak belirledikçe, işletmeler, kullanıcıların ve passeylerin öncelikli olarak çalıştığı çevreyi korumak için sağlam güvenlik önlemlerinin mevcut olmasını sağlamalıdır – tarayıcıdır.
Squarex Hakkında
Squarex’in tarayıcı uzantısı, herhangi bir cihazdaki herhangi bir tarayıcıyı kurumsal sınıf güvenli bir tarayıcıya dönüştürür. Squarex’in sektörde ilk tarayıcı algılama ve yanıt (BDR) çözümü, kuruluşların kötü amaçlı tarayıcı uzantıları, gelişmiş mezarlık, tarayıcı-native fidye yazılımı, genai dlp ve daha fazlası dahil olmak üzere istemci tarafı web saldırılarını proaktif olarak algılama, azaltma ve tehdit avı avlamalarını sağlar.
Eski güvenlik yaklaşımlarının ve hantal kurumsal tarayıcıların aksine, Squarex kullanıcıların mevcut tüketici tarayıcılarıyla sorunsuz bir şekilde entegre olur ve kullanıcı deneyiminden veya üretkenliğinden ödün vermeden gelişmiş güvenlik sağlar.
Doğrudan tarayıcı içinde eşsiz görünürlük ve kontrol sağlayarak, Squarex güvenlik liderlerinin saldırı yüzeyini azaltmalarını, eyleme geçirilebilir zeka kazanmalarını ve en yeni tehdit vektörüne (tarayıcıya karşı kurumsal siber güvenlik duruşlarını güçlendirmelerini sağlar.
Kullanıcılar daha fazlasını www.sqrx.com adresinde bulabilir.
Temas etmek
PR Başkanı
Haziran Liew
Kare
[email protected]